pasos de la migración de la seguridad de la red de la nube y faq … · actualizar su arquitectura...

Pasos de la migración de la Seguridad de la redde la nube y FAQ para las torres de la últimageneración Contenido

IntroducciónFinal de las torres de la herencia del CWS del aviso del servicioCambios de configuración del CWSASA como conector al CWSCLIASDMDefecto relacionadoBúsqueda de DNS de la configuraciónISR G2 como conector al CWSCLI - Versiones anterior que la versión 15.4(2)TCLI - Versiones más adelante que la versión 15.4(2)TBúsqueda de DNS de la configuraciónWSA como conector al CWSConector nativo como conector al CWSEl ASA utiliza el NAT de destino para reorientar al CWSCLIASDMSolución pasiva de la Administración de la identidad con el CWSOrdene para elevarse/proxy explícito/configuración recibida como método de cambio de direcciónal CWSDirija la configuración de representación dentro de un navegadorArchivo PACCambios del Firewall requeridos con el uso de EasyIDCambios de configuración de escudo de protección (si procede)Alcances del IP Address de la salida de la torre de la última generaciónPreguntas FrecuentesProblemas de migraciónNotificação Pré-Migração: Seguridad de la red de la nube na Infraestrutura DA Cisco deMelhoramentos ningún centro de datos de São PauloNotificación PRE-migración: En Sao Paulo DC de la Seguridad de la red de Cisco Cloud delinfraestructura del la en de Mejoras (CWS)Información Relacionada

Introducción

Este documento contiene un final del aviso del servicio y describe los cambios de configuraciónpara la Seguridad de la red de la nube de Cisco (CWS). El CWS de Cisco está en curso de

actualizar su arquitectura actual de la nube para cubrir las necesidades de los clientes. Éste no esapenas soportar el mapa de ruta de la característica, pero también mejorar la escala y la Altadisponibilidad de la solución total.

Como parte de la consolidación de Cisco para mejorar continuamente la calidad de nuestrasofrendas del como-uno-servicio de la Seguridad, Cisco pregunta que usted se traslada a un proxydel reemplazo así que la plataforma actual puede ser retirada. Éste es un proceso obligatorio quese asegurará que CWS de Cisco pueda mantener adecuadamente a sus clientes. Su proxy actualserá retirado pronto (véase la tabla en “final de las torres de la herencia del CWS la sección delaviso del servicio” por las fechas). Asegúrese de que usted siga las instrucciones dentro de estedocumento para configurar el acceso a la torre de la última generación (NGT). Sea conscienteque si usted falta esta fecha usted arriesga la pérdida de acceso al servicio. Cisco aprecia queéste requiere el tiempo y esfuerzo en su parte y valora su ayuda para alcanzar esta mejora anuestro servicio.

Final de las torres de la herencia del CWS del aviso del servicio

Cisco anuncia las fechas de fin-de service para cada uno de las torres de la herencia enumeradasen esta tabla. El día más pasado a emigrar para cada torre de la herencia es mencionado.Después de esta fecha el servicio del CWS será no más disponible desde esa torre. Es obligatorioque los clientes afectados emigren a la Seguridad NGT de la red de la nube de Cisco para evitarla interrupción del servicio.

Torre afectada DetallesLa fecha máspasada delservicio

Torre delreemplazo Detalles

Sydney (SYD2)

Proxy de la torre delCWS de Ciscomediados deFormato:(= número)

décimo quintoMayo de 2015 Sydney (SYD3)

Proxy del CWS NGT (torre deCisco de la última generación).Formato:access7XX.cws.sco.cisco.com(XX = número)

Dallas (DAL1)


décimo quintoMayo de 2015 Dallas (DAL1)


Francfort(FRA1 y FRA2)


trigésimoJunio de 2015

Francfort(FRA2)


Chicago (CHI1)


31ro Agostode 2015 Chicago (CHI2)


Secaucus(SCS1 ySCS2)


31ro Agostode 2015

Secaucus(SCS2)


Londres Proxy de la torre del 31ro Agosto Londres Proxy del CWS NGT (torre de

(LON4)

CWS de Ciscomediados deFormato:(= número)

de 2015 (LON5)

Cisco de la última generación).Formato:accessXX.cws.sco.cisco.com(XX = número)

San José(SJL1)


31ro Agostode 2015

San José(SJL1)


Sao Paulo(SAO1)


décimoterceroMarzo de2016

Sao Paulo(SAO2)


Johannesburgo(JOH1)


1r Agosto de2017

Johannesburgo(JOH2)


Cambios de configuración del CWS

El dependiente sobre qué método de conexión usted utiliza para el servicio del CWS, suconfiguración necesitará ser alterado para asegurar la conexión adecuada al NGT. Esta guíadelinea los cambios apropiados para hacer para cada uno de estos conectores.

ASA como conector al CWS

Para el conector ASA, usted necesita cambiar las opciones de ScanSafe en la configuración. Laconfiguración substituye la torre del primario actual por el nuevo NGT. Esto se puede hacer delCLI o de la interfaz adaptante del Administrador de dispositivos de seguridad (ASDM). Los pasosse proporcionan en esta sección.

CLI

Configuración antes

scansafe general-options

server primary {ip | fqdn} [PRIMARY TOWER] port 8080

server backup {ip | fqdn } [SECONDARY TOWER] port 8080

retry-count 5

license [AUTH KEY HERE]

Configuración después

scansafe general-options

server primary {ip | fqdn} [NGT TOWER] port 8080

server backup {ip | fqdn} SECONDARY TOWER] port 8080

retry-count 5

license [AUTH KEY HERE]

Note: No cambie la llave de la licencia. Si usted desea cargar una nueva configuración,

entre la clave de nuevo original. La clave se puede traer del ASA con el más sistema:running-config | incluya el comando license.

Pasos del cambio de configuración vía el CLI

Del CLI en el ASA, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ASA# configure terminal

CCWS_ASA(config)# scansafe general-options

CCWS_ASA(config)# no server primary ip [EXISTING PRIMARY PROXY IP HERE] port 8080

CCWS_ASA(config)# server primary ip [NEW PRIMARY NGT PROXY IP HERE] port 8080

CCWS_ASA(config)# exit

CCWS_ASA(config)# write memory

Del CLI en el ASA, ingrese estos comandos si usted utiliza el Nombre de dominio totalmentecalificado (FQDN) (FQDN):


CCWS_ASA(config)# scansafe general-options

CCWS_ASA(config)# no server primary fqdn [EXISTING PRIMARY PROXY FQDN HERE] port 8080

CCWS_ASA(config)# server primary fqdn [NEW PRIMARY NGT PROXY FQDN HERE] port 8080

CCWS_ASA(config)# exit

CCWS_ASA(config)# write memory

ASDM

Del dispositivo vía el ASDM, elija la configuración > la Administración de dispositivos. Para elsolo contexto, elija la Seguridad de la red de la nube del panel izquierdo.Para el multi-contexto, ingrese el contexto del sistema y después elija la Seguridad de la red de la nubedel panel izquierdo.

1.

En los campos del servidor primario y del IP Address/del Domain Name del servidor debackup, ingrese el IP Address NGT o el FQDN y el tecleo se aplican.

2.

Del menú de archivos, elija la configuración corriente de la salvaguardia para contellear.3.

Defecto relacionado

Id. de bug Cisco CSCuj86222 - El ASA cae los segmentos de OoO TCP cuando conns del envío através de proxy para el cambio de dirección de ScanSafe

Note: Si usted funciona con una versión afectada sabida, Cisco recomienda que ustedactualiza a una versión con este defecto reparado.

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigraa NGT. Lea esta sección para los pasos para configurar la búsqueda de DNS.

Configure la búsqueda de DNS

La configuración del CWS en un ASA que utilice el FQDN requiere el uso de los servidores DNSpara acceder el proxy del CWS por el Domain Name. Una vez que se configura las operacionesde búsqueda del Domain Name y el servidor DNS, el ASA puede resolver el proxy FQDN.Aseegurese que usted configura la encaminamiento apropiada para cualquier interfaz en la cualusted habilite las operaciones de búsqueda del dominio DNS así que usted puede alcanzar alservidor DNS.

CLI

https://tools.cisco.com/bugsearch/bug/CSCuj86222/

hostname(config)# dns domain-lookup interface_name

hostname(config)# dns server-group DefaultDNS

hostname(config-dns-server-group)# name-server ip_address [ip_address2]..[ip_address6]

ASDM

ISR G2 como conector al CWS

Para Cisco ISR G2, usted necesitará cambiar la correspondencia del parámetro de la “contenido-exploración”. La configuración substituye el servidor de ScanSafe del primario actual por el nuevoNGT. Los pasos se muestran en esta sección.

CLI - Versiones anterior que la versión 15.4(2)T


parameter-map type content-scan global

server scansafe primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080

server scansafe secondary {ipv4 | name} [SECONDAY TOWER] port http 8080 https 8080

license 0 [AUTH KEY HERE]

source interface [INTERFACE]

timeout server 30

user-group [GROUP] username [NAME]

server scansafe on-failure allow-all


parameter-map type content-scan global

server scansafe primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080

server scansafe secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080



timeout server 30




Del CLI en el ISR, ingrese estos comandos si usted utiliza los IP Addresses:

CCWS_ISRg2# configure terminal

CCWS_ISRg2(config)# parameter-map type content-scan global

CCWS_ISRg2(config)# no server scansafe primary ipv4 [EXISTING PRIMARY PROXY IP HERE]

port http 8080 https 8080

CCWS_ISRg2(config)# server scansafe primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]


CCWS_ISRg2(config)# exit

CCWS_ISRg2# write memory

Del CLI en el ISR, ingrese estos comandos si usted utiliza el FQDN:


CCWS_ISRg2(config)# parameter-map type content-scan global

CCWS_ISRg2(config)# no server scansafe primary name [EXISTING PRIMARY PROXY FQDN HERE]


CCWS_ISRg2(config)# server scansafe primary name [NEW PRIMARY NGT PROXY FQDN HERE]




Note: No cambie la llave de la licencia. Si usted desea a cargar una nueva configuración,entre la clave de nuevo original.

CLI - Versiones más adelante que la versión 15.4(2)T


parameter-map type cws global

server cws primary {ipv4 | name} [PRIMARY TOWER] port http 8080 https 8080

server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080



timeout server 30




parameter-map type cws global

server cws primary {ipv4 | name} [NGT TOWER] port http 8080 https 8080

server cws secondary {ipv4 | name} [SECONDARY TOWER] port http 8080 https 8080



timeout server 30




Del CLI en el ISR, ingrese estos comandos si usted utiliza los IP Addresses:


CCWS_ISRg2(config)# parameter-map type cws global

CCWS_ISRg2(config)# no server cws primary ipv4 [EXISTING PRIMARY PROXY IP HERE]


CCWS_ISRg2(config)# server cws primary ipv4 [NEW PRIMARY NGT PROXY IP HERE]




Del CLI en el ISR, ingrese estos comandos si usted utiliza el FQDN:


CCWS_ISRg2(config)# parameter-map type cws global

CCWS_ISRg2(config)# no server cws primary name [EXISTING PRIMARY PROXY FQDN HERE]


CCWS_ISRg2(config)# server cws primary name [NEW PRIMARY NGT PROXY FQDN HERE]




Note: No cambie la llave de la licencia. Si usted desea a cargar una nueva configuración,entre la clave de nuevo original.

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigraa NGT. Lea la siguiente sección para los pasos para configurar la búsqueda de DNS.

Configure la búsqueda de DNS

La configuración del CWS en un ISR que utilice el FQDN requiere el uso de un servidor DNS paraacceder el proxy del CWS por el Domain Name. Una vez que se configuran las operaciones debúsqueda del Domain Name y los servidores DNS, el ISR puede resolver el proxy FQDN.

hostname(config)#ip domain lookup

hostname(config)#ip name-server [ vrf vrf-name ] server-address1

server-address2...server-address6]

WSA como conector al CWS

Para Cisco WSA, usted necesitará cambiar los servidores proxy del CWS. Esta configuraciónsubstituye al servidor primario por el nuevo NGT. Esto se completa dentro del portal de laconfiguración WSA. Los pasos se muestran en esta sección.

Login al portal web WSA. Del menú de la red, elija el conector de la nube.1.

El tecleo edita las configuraciones.2.

Cambie a la dirección del servidor para reflejar la nueva torre. Haga clic en Submit (Enviar).3.

Cambios del cometer del tecleo.4.

Ingrese un comentario (opcional) y confíe los cambios al WSA.5.

Conector nativo como conector al CWS

Para el conector nativo, usted necesita modificar el archivo del “agent.properties” con el nuevoNGT primario. Para completar esto, edite directamente el archivo para hacer que el “proxyprimario” sea el NGT. Entonces, recomience el servicio del conector.

Edite el archivo del “agent.properties”. Para Windows, el archivo del agent.properties estásituado en “\ los archivos de programa (directorio del x86)\Connector".Para Linux, el archivodel agent.properties está situado en el directorio “/opt/connector/”.Configuración antes# #############################################################

# Configure upstream service

defaultUpstreamPort=8080

# Primary upstream server

primaryProxy=[PRIMARY TOWER]

primaryProxyPort=8080

primaryProxyType=plain

secondaryProxy=[SECONDARY TOWER]

secondaryProxyPort=8080

secondaryProxyType=plain

tertiaryProxy=

1.

tertiaryProxyPort=

tertiaryProxyType=plain

# #############################################################

Configuración después# #############################################################




primaryProxy=[NGT TOWER]






tertiaryProxy=

tertiaryProxyPort=


# #############################################################

Reiniciar el servicio. Para Windows, abra Services.msc. Haga clic con el botón derecho delratón el reinicio del tecleo de Connectorand.

Para el Linux, ingrese el comando del reinicio de /etc/init.d/connector.

2.

El ASA utiliza el NAT de destino para reorientar al CWS

Esto está solamente para el tráfico HTTP. Un ASA que funciona con la versión 8.3 yposterior soporta la fuente y el NAT de destino.

Para el ASA como conector que utilice el NAT de destino, utilice el manual/dos veces la funciónNAT disponibles en la versión 8.3 ASA o más adelante. Si usted utiliza el NAT de destino paraenviar el tráfico a las torres del CWS, usted necesita cambiar la dirección IP de la torre en lasentencia NAT.

En la configuración de muestra, hay dos interfaces en el ASA. A saber “interior” (nivel deseguridad 100) y “exterior” (nivel de seguridad 0).

CLI


# #############################################################










tertiaryProxy=

tertiaryProxyPort=


# #############################################################


# #############################################################










tertiaryProxy=

tertiaryProxyPort=


# #############################################################


Del CLI en el ASA, ingrese estos comandos si usted utiliza los IP Addresses:


CCWS_ASA(conf)#object network cws-ngt-tower

CCWS_ASA(config-network-object)#host [NEW PRIMARY NGT PROXY IP ADDRESS HERE]

CCWS_ASA(config-network-object)#exit

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface

destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface

destination static Internet cws-ngt-tower service original-http proxy-8080

Del CLI en el ASA, ingrese estos comandos si usted utiliza el FQDN:


CCWS_ASA(conf)#object network cws-ngt-tower

CCWS_ASA(config-network-object)#fqdn [NEW PRIMARY NGT PROXY FQDN HERE]

CCWS_ASA(conf)#no nat (inside,outside) source dynamic cws-protected-network interface

destination static Internet cws-primary-tower service original-http proxy-8080

CCWS_ASA(conf)#nat (inside,outside) source dynamic cws-protected-network interface

destination static Internet cws-ngt-tower service original-http proxy-8080

ASDM

Ingrese el ASDM y elija la configuración > el Firewall > los objetos de red/a los grupos.1.Elija agregan > objeto de red.2.

Ingrese esta información para la torre NGT: Nombre: CWs-ngt-torreTipo: Host/FQDN(dependiente en su entorno)Versión IP: IPv4Dirección IP /FQDN: NGT FQDN o direcciónIPDescripción:(Opcional)

3.

Click OK.4.

Elija la configuración > el Firewall > las reglas NAT. 5.Elija la regla actual NAT y el tecleo edita.6.

Edite el campo dirección de destino.7.

Elija el objeto creado recientemente de la CWs-ngt-torre y haga clic la AUTORIZACIÓN.8.

Aplique la configuración al ASA.9.

Solución pasiva de la Administración de la identidad con el CWS

Para el uso de la Administración de la identidad pasiva (PIM) scripts con la integración de ActiveDirectory en el producto del CWS, realizan estos cambios a la secuencia de comandos de inicio.(El ejemplo debajo de las aplicaciones “pim-abiertas” como el nombre del lote.)

Abra “pim-open.batch” y edite el archivo por lote. Usted puede encontrar el archivo por lotesituado en el “<unidad> \ <Install Directory> \ PIM”. Por ejemplo, “C:\PIM\pim - open.batch”.


C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[PRIMARY TOWER]:8080


C:\PIM\PIM_1.2.3.6.exe /Verbose=Y /IP /Proxy=[NGT TOWER]:8080

Ordene para elevarse/proxy explícito/configuración recibida como método decambio de dirección al CWS

Para la conexión directa al servicio de la configuración de representación del navegador, loscambios necesitan ser realizados al servidor proxy. Las configuraciones de representación sepueden aplicar directamente o con un archivo de la configuración automática del proxy (PAC). Lasalteraciones para ambos métodos se delinean en esta sección.

Configuración de representación directa dentro de un navegador

Asegúrese que las “configuraciones LAN” para el punto final estén habilitadas para utilizarun servidor proxy.

1.

En la configuración del “servidor proxy”, cambie la torre primaria IP/FQDN al NGT IP/FQDN.2.

Archivo PAC

Esto es un ejemplo solamente.

Archivo PAC antes

function FindProxyForURL(url, host) {

// If URL has no dots in domain name, send direct.

if (isPlainHostName(host))

return "DIRECT";

// If URL matches, send direct.

if (shExpMatch(url,"*domain123.com/folder/*"))

return "DIRECT";

// If hostname matches, send direct.

if (dnsDomainIs(host, "vpn.domain.com"))

return "DIRECT";

// If hostname resolves to internal IP, send direct.

var resolved_ip = dnsResolve(host);

if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))

return "DIRECT";

// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.

return "PROXY [PRIMARY TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";

}

Archivo PAC después

function FindProxyForURL(url, host) {

// If URL has no dots in domain name, send direct.

if (isPlainHostName(host))

return "DIRECT";

// If URL matches, send direct.

if (shExpMatch(url,"*domain123.com/folder/*"))

return "DIRECT";

// If hostname matches, send direct.

if (dnsDomainIs(host, "vpn.domain.com"))

return "DIRECT";

// If hostname resolves to internal IP, send direct.

var resolved_ip = dnsResolve(host);

if (isInNet(resolved_ip, "10.0.0.0", "255.0.0.0"))

return "DIRECT";

// DEFAULT RULE: All other traffic, use below proxies, in fail-over order.

return "PROXY [NGT TOWER]:8080; PROXY [SECONDARY TOWER]:8080; DIRECT";

}

Cambios del Firewall requeridos con el uso de EasyID

La configuración de red recomendada para EasyID está para los clientes solamente a los puertosabiertos en sus Firewall de los IP Addresses específicos del centro de datos del CWSenumerados en el portal para acceder los servidores LDAP. Antes de la migración a NGTs paraprimario y/o de reserva/secundario, ponga al día las reglas de firewall para incluir cualquier nuevoIP Addresses NGT.

Las nuevas torres de la embajada serán proporcionadas junto con la asignación NGT. Ustednecesita incluir la torre de la embajada NGT en la regla de la lista de control de acceso (ACL)entrante. La dirección IP de la embajada NGT se puede encontrar en el portal de ScanCenter(reino fácil de la Administración ID).

Lista de control de acceso antes

Allow inbound traffic from EXISTING EMBASSY TOWERS to LDAP SERVERS on ports tcp/389

or tcp/636 (if secured LDAP)

Lista de control de acceso después

Allow inbound traffic from NEW NGT EMBASSY TOWERS to LDAP SERVERS on ports tcp/389

or tcp/636 (if secured LDAP)

Para la lista actualizada, elija Scancenter > el Admin > la autenticación > la Administración.

En esta sección, el tecleo edita en los “reinos activos de la autenticación”. En la siguiente sección,la lista actualizada de IP Addresses se muestra en esta visualización.

Una vez que usted tiene la lista actualizada de servidores permitidos, el uso “conexión del control”para asegurar la Conectividad de todas las torres es acertado y el estatus es verde.

La “conexión del control” pudo tardar algunos minutos para probar la Conectividad de todas lastorres.

Cambios de configuración de escudo de protección (si procede)

Si el entorno actual del Firewall permite el acceso entrante y/o saliente a la torre, estos cambiosse deben realizar para el NGTs.

Cualquier ACL que permita el acceso de salida a su torre actual del CWS se debe alterar parapermitir el acceso de salida a su nueva torre del CWS de la última generación.

Lista de acceso antes

access-list [NAME] extended permit tcp any [TOWER-IP] eq 8080

Lista de acceso después

access-list [NAME] extended permit tcp any [NGT-TOWER-IP] eq 8080

Cualquier ACL que permita el acceso entrante a su torre actual del CWS se debe alterar parapermitir el acceso entrante de su nueva torre del CWS de la última generación.

Lista de acceso antes

access-list [NAME] extended permit tcp [TOWER-IP] eq 8080 any

Lista de acceso después

access-list [NAME] extended permit tcp [NGT-TOWER-IP] eq 8080 any

Alcances del IP Address de la salida de la torre de la últimageneración

Si usted necesita proporcionar los partners comerciales/a los vendedores externos con losalcances del IP Address de la salida porque necesitan saber dónde contar con su tráfico de,ajustan sus ACL de acuerdo con esta tabla.

Torre de la última generación Alcances del IP Address de la salidaLondres 108.171.128.160 - 108.171.128.223Secaucus 108.171.130.160 - 108.171.130.223Dallas 108.171.132.160 - 108.171.132.223Sydney 108.171.134.160 - 108.171.134.223Chicago 108.171.131.160 - 108.171.131.223Francfort 108.171.129.160 - 108.171.129.223Washington DC 108.171.133.160 - 108.171.133.223San José 108.171.135.160 - 108.171.135.223Sao Paulo 108.171.138.160 - 108.171.138.223Johannesburgo 108.171.145.160 - 108.171.145.223

Preguntas Frecuentes

1. ¿Qué se requiere para nuestra petición interna del cambio?

De acuerdo con el método de redireccionamiento/el despliegue, los cambios de configuraciónserán requeridos para permitir el tráfico al proxy NGT asignado a su sitio. En el script del conectordevice/PAC/PIM, usted necesita cambiar la dirección IP o el FQDN del proxy primario. Cisco noprevé ningún requisito del tiempo muerto. Mientras que usted cambia el proxy primario, suservicio bajará sobre el proxy secundario (si está configurado).

2. ¿Si experimento cualesquiera problemas técnicos en NGT, invierto al proxy actual?

Abra una solicitud de servicio vía el Centro de Asistencia Técnica de Cisco (TAC). Incluya sunombre de la compañía, dirección del proxy del primario actual, nueva dirección del proxy NGT,tema: “Migración NGT” y una Breve descripción del problema.

3. ¿Los clientes recibirán un email de la notificación en la migración al proxy NGT de Cisco?

Solamente los clientes notificados por Cisco deben proceder con la migración. La migración NGTserá conducida en las fases y a su debido tiempo le notificarán. Si usted no recibe unanotificación por correo electrónico y cree que usted utiliza actualmente un proxy primario que tieneNGT disponible en el mismo país/región, alcance hacia fuera a [email protected] para laconfirmación.

mailto:[email protected]

4. ¿Habrá autorización adicional requerida para emigrar al proxy NGT?

Los clientes pueden el descanso asegurado que no hay requisitos adicionales de la licencia paraemigrar el servicio al proxy NGT.

5. ¿Necesito cambiar la llave de la licencia y/o las directivas de centro de la exploración antes odespués de la migración?

Sigue habiendo todas las llaves de la licencia y directivas sin cambiar en el portal del centro de laexploración.

6. Utilizo el FQDN para el nombre de la torre en vez de una dirección IP. ¿Mi tráfico será remitidoautomáticamente al proxy NGT si cambio el expediente A en el DNS o yo necesita señalarmanualmente al proxy NGT?

Pues la migración se planea de una manera organizada, Cisco tendrá el primario actual y el proxyNGT asignado y ellos resuelven a dos diversos IP Addresses. El proxy NGT posee un IP Addressúnico; por lo tanto es obligatorio que los clientes realicen un cambio manual a la dirección IPFQDN que pertenece a NGT.

7. ¿Qué cambios se necesitan en mi Firewall por aguas arriba o el extremo ISP?

Si usted tiene un ACL para el tráfico saliente, permita el tráfico al destino del NGTs en TCP/8080(para AnyConnect y asegure el conector (independiente) que esto también necesitará elTCP/443). Vea la dirección IP FQDN asignada a usted en el email de la migración.

8. En nuestra organización, hay los sitios múltiples que utilizan el CWS con diversas torresconfiguradas. ¿Cómo me aseguraré de qué sitios necesitan ser emigrados?

El servicio al cliente del CWS que el equipo proporcionará los nuevos proxys NGT afectados unaparato a usted basó en cada uno de sus ubicaciones. No todas las ubicaciones tienenactualmente proxys NGT disponibles.

9. En nuestra organización hay los sitios múltiples que se han notificado para ser emigrados. ¿Esposible emigrar en las fases?

Usted no tiene que emigrar todos los sitios inmediatamente. Sin embargo, se recomienda paraemigrar todos los sitios durante la ventana pedida de la migración.

10. No soy familiar con el despliegue y la configuración del CWS. ¿Hay una herramienta de laautoconfiguración o de la migración de Cisco a ayudar con los cambios?

No, Cisco no tiene una herramienta a ayudar con la autoconfiguración/la migración. Hay Guía demigración detallado basado en el método de implementación usado para ayudarle. En caso deque usted haga frente a cualquier dificultad, alcance hacia fuera a [email protected] parala ayuda.

11. ¿Si tengo un partner comercial/un vendedor externo que restrinja el tráfico basado en ladirección IP, cuáles son los nuevos alcances del IP Address de la salida NGT?

Torre de la última generación Alcances del IP Address de la salidaLondres 108.171.128.160 - 108.171.128.223Secaucus 108.171.130.160 - 108.171.130.223


Dallas 108.171.132.160 - 108.171.132.223Sydney 108.171.134.160 - 108.171.134.223Chicago 108.171.131.160 - 108.171.131.223Francfort 108.171.129.160 - 108.171.129.223Washington DC 108.171.133.160 - 108.171.133.223San José 108.171.135.160 - 108.171.135.223Sao Paulo 108.171.138.160 - 108.171.138.223Johannesburgo 108.171.145.160 - 108.171.145.223

12. ¿Habrá cambio en cómo EasyID o la autenticación del lenguaje de marcado de la aserción dela Seguridad trabaja?

Sí, habrá cambios a la dirección IP de EasyID que necesita no ser prohibida entrante en susdispositivos del borde/del Firewall. Usted puede ver la lista de IP Addresses en la sección deEasyID del portal de ScanCenter. Asegúrese que usted haya permitido el acceso entrante alservidor del Lightweight Directory Access Protocol (LDAP) de los nuevos IP Addresses de EasyIDen los puertos TCP 389/3268 o TCP 636/3269 (LDAP) en las políticas del firewall.

13. ¿Cuánto tiempo muerto necesito programar para el intercambio?

Idealmente, no cuente con ningún tiempo muerto pues usted hace su torre de reserva configuraren su conector (conector ASA/ISR/WSA/Native). La mejor práctica recomendada es realizar lamigración en los tiempos del NON-pico o después de las horas.

14. ¿Qué cambios necesito realizar en la red con excepción de la configuración del CWS?

Si usted tiene ACL salientes configurados en los dispositivos del borde/del Firewall y/o laencaminamiento basada directiva, póngala al día con la dirección IP FQDN del proxy NGTasignada a su compañía.

15. ¿La información se romperá si emigro a NGT?

No habrá cambio en los informes programados y guardados en el portal de ScanCenter.

16. ¿Qué prueba de conectividad puedo realizar para asegurar el proxy NGT soy accesible?

Usted puede realizar el PING o Telnet TCP a su proxy asignado NGT en el puerto TCP/8080.

17. ¿Qué debo marcar para asegurarme de que he emigrado con éxito al proxy NGT?

Hojee a “whoami.scansafe.net” y verifique el “logicalTowerNumber”. el “logicalTowerNumber”debe ser 10000 más el número del Punto de acceso. Por ejemplo, si le afectan un aparato"access66.cws.sco.cisco.com", el logicalTowerNumber es 10066.

18. ¿Utilizo el proxy FQDN NGT o la dirección IP?

Para prevenir los cambios en el futuro, se recomienda para utilizar el FQDN cuando usted emigraa NGT.

19. ¿Qué clase de cambios mis usuarios ambulantes, que utilizan el módulo de la Seguridad de lared de AnyConnect, tienen que hacer?

Para los usuarios en el cliente de AnyConnect, NINGUNOS CAMBIOS necesitan ser realizados

para la migración NGT.

20. ¿Necesito cambiar mi torre secundaria del CWS así como mi torre primaria cuando metraslado a NGT?

Sí, las torres primarias y secundarias se deben cambiar de acuerdo con las asignaciones dadas.

Problemas de migración

Por cualquier problema de migración NGT, registre una solicitud de servicio por ninguno de estosmétodos:

Red: Administrador del caso de soporte●

Teléfono: LOS E.E.U.U.: 1(877) 472-2680EMEA: 44(0) 207-034-9400APAC: (64) 800513572●

Notificação Pré-Migração: Seguridad de la red de la nube naInfraestrutura DA Cisco de Melhoramentos ningún centro dedatos de São Paulo

El parte de Como hace los ofertas melhorar de los nossas das del qualidade del continuamenteDA Cisco para del compromisso Segurança-como-um-serviço, atualmente de los encontramo-nosun em implementar São Paulo de la Seguridad de la red de la nube de Cisco del serviço del seudel providencia o del que del infraestrutura na de los consideráveis de los melhoramentos(anteriormente Scansafe), el Brasil.

De forma un aceder un infraestrutura del aperfeiçoada del esta, como qual “ou “NGT” de losreferimos no. del à de la torre” de Next Gen (geração de torre de nova), proxy NGT del novo depara de la Seguridad de la red de la nube del serviço ao del aceder de para del utilizam delatualmente del que del secundário del primário e de los proxys DOS del migração del à de terãode proceder um. Un início iniciar de Fevereiro de 2016 e de para o del marcada del atualmentedel está de para este processo de migração del prevista de los datos un até 13 de Março de 2016del completada del ser del desarrollador del mesma. Negócio agendar planear externo/parceirosde negócios (salida de para del quer de los internos de las aletas de para del quer de losnecessárias de para e quaisquer janelas de manutenção aos del objetivo del como del tem delpré-notificação del desta del envio O de los nossos de los clientes del suficiente facultar del tempo(endereços de proxy) del intervalo).

Facultada qualquer extensão de prazo para del será del não del que del atenção em del tenha delfavor de Por após 13 de Maço de 2016 de un migração. Todas del tomo del que de losagradecemos del que de Pelo como obrigatória preparar del migração del esta de para de losnecessárias de los medidas. Un resultará na perda de serviço de Março del até 13 del migraçãodel não.

Email del novo de Receberá um ninguna COM de 2016 del início un migração del esta de paradel necessária del informação, especificamente de los atribuídos de los proxys NGT DOS de losdetalhes OS del incluindo un cliente del cada. Entretanto, salida para o DC de São Paulo de losintervalos de los novos OS del já del desde del consideração em del tenha del favor del por:108.171.138.160 - 108.171.138.223. Clientes de los nossos OS de Aconselhamos una salida delos intervalos de los novos de los destes OS seus parceiros de negócio del já del desde del

https://tools.cisco.com/ServiceRequestTool/scm/mgmt/case

informarem.

Visite del favor del por de los informações de los mais del obter del pretenda de Caso instruçõespara del nossa del página de la red de para de los perguntas de los frequentes e Instruções paraMigração de un encontrará del onde completar un migração, incluindo modificar comoaperfeiçoada enviar del infraestrutura del esta de para del rede DA del tráfico de Cisco de losequipamentos no. de los configurações de los suas (ASA, ISR, WSA, etc.) para o.

IP tal para NGT del como o novo intervalo de egress del poderá del que del informação delencontrará de Também COM o seu departamento de informática ou del parceiro partilharnecessitar COM o departamento de informática de um.

Aceda del favor de Por un link para Perguntas Frequentes e Instruções de Migração del este

Como eficiente assegurar para de los simples e del transição del uma de para de los disponíveisencontram-SE de Operações e Prestação de Serviços DA Cisco de los equipas un infraestruturade la Nova. La red para Perguntas Frequentes e Instruções para Migração del página del nossana del encontrem SE del não del que de los conexões de los atuais de los suas das del migraçãodel à del relativamente de los questões del existam de Caso, los contacte-nos del favor del por víalos através del email hace el endereço [email protected].

IMPORTANTE - FAVOR LEIA POR: É del não SE un empresa del sua DA del nome em de losnotificações de los estas del receber del devia del que del pessoa, ajude-nos del favor del por unque assegurar un possível del breve de los mais del informação o del importante del esta de paradel alertada del é del correta del pessoa. Los através atualizar del lista del pode de Também deendereços del email de para de los notificações DA de un empresa del sua hacen el login portapara del efetuando o de ScanCenter del seu un separador “Admin” del selecionando o e de“Inicio” del página. El seguida Em, ponteiro passe o hace el selecione “Notificações” e de “SuaConta” del separador del sobre o rato. La pandilla del seguida Em ningún botão “Gerenciarconfigurações de atualização hace el serviço” e assegure-SE de que un selecionada del está delserviço de verificação del caixa “Enviar e-mails de atualização hace”. Passará del esta e delserviço del lado de na caixa de texto ao del correta del pessoa de o endereço de e-mail DA deladicione FIM de Por “Enviar e-mails de atualização hace” los trabalhos de manutenção denotificações de incidentes e del receber.

Cumprimentos de los melhores OS COM,

Un equipa Cisco de Operações e Prestação de Serviços

Notificación PRE-migración: En Sao Paulo DC de la Seguridadde la red de Cisco Cloud del infraestructura del la en de Mejoras(CWS)

Ofertas mejorar de Seguridad-como-uno-Servicio de la calidad de nuestras del continuamente deComo parte del compromiso de Cisco de, en Sao Paulo de la Seguridad de la red de Cisco Clouddel servicio EL del ofrece del que del infraestructura del la en de los significativas de los mejorasdel realizando de los estamos (anteriormente ScanSafe), el Brasil.

Acceder de Para un infraestructura Mejorada del esta, un como “torre” (generación de Torre denueva) o “NGT” de los referimos no. del que del la de Next Gen, migrados de reserva del ser delque del tendrán de la Seguridad de la red de Cisco Cloud del servicio del al de los asignados del

//www.cisco.com/c/es_mx/support/docs/security/cloud-web-security/118478-technote-cws-00.html?cachemode=refresh


https://scancenter.scansafe.com/portal/admin/login.jsp


primario y de los proxys de los actuales del sus un una nueva asignación de proxys de NGT. Del13 de marzo de 2016 de las apuestas del completada del ser del debe del migración del la depara principios de febrero de 2016 y del planeada del actualmente del está del migración NGT delesta de fecha de inicio del La. Necesarias programar planificar de para y las ventanas de cambiode los nuestros de para del notificación del esta del antelación de la estafa del enviando deEstamos de los clientes EL del suficiente proporcionar del tiempo, estafa sus socios de negociosde los internos de los propósitos de la estafa del mar del ya (proxys) de cambio de direcciones deo/externos de los comerciales (pública de IP de los rangos).

Que del cuenta en del tenga del favor de Por ningún del 13 de marzo de 2016 del allá de los másde ninguna extensión de migración del proporcionará SE. Tanto del lo de Por, favor del por,obligatorio del cambio del próximo del este de para del prepararse de para de los necesarias delos medidas de los las del tomo. Si ningún en migrar una pérdida del servicio del traduciría EL 13de marzo se de para del pudiera.

Electrónico del correo del otro del recibirá de Usted un sus asignaciones específicas de proxysNGT del incluyendo del migración del esta de para del necesaria del información del la de laestafa de 2016 de los principios. Tanto de Mientras, favor del por, salida de Sao Paulo DC es deIP del rango del nuevo EL del que del cuenta en del tenga: 108.171.138.160 - 108.171.138.223.Animamos clientes de los nuestros externos notificar de los socios de un sus, antelación de laestafa un migración del la, brevedad del alcalde del la de la estafa del adicional de salida delrango de este posible.

Información de los más del obtener del desea Si, migraciones de los las de para de losinstrucciones de los frecuentes e de nuestra página de preguntas del visite, migración del la depara de los instrucciones de los las del encontrará del donde, rojo enviar del tráfico EL de Ciscode los dispositivos de la modificación de las configuraciones en del incluyendo (ASA, ISR, WSA,etc) para mejoradas de los infraestructuras de los nuevas de los estas (NGT). IP de salida paraNGT EL nuevo rango de direcciones del como de los socios del sus de la estafa de las IT o deldepartamento su de la estafa del compartir del que del tenga del que del puede del que delinformación del encontrará del también de Usted.

Aquí para Preguntas Frecuentes e Instrucciones de Migración del clic de Haga

Mejoradas asegurar de los infraestructuras de los nuevas de los las del hacia del eficaz delsencilla y del transición del una de para de los disponibles del están de Cisco de Operaciones yDespliegue del Servicio de los equipos del los. Que usted Si de los actuales de los conexiones delsus de pregunta acerca de la migración del alguna del tiene ningunos frecuentes de los preguntasde los las en del respondió SE, electrónico [email protected] del correo EL del usandode los nosotros de la estafa del contacto en del póngase del favor del por.

IMPORTANTE - PASTO DEL FAVOR POR: El Si no usted ningún empresa de su del nombre ende los notificaciones de los estas del recibir del debe del que del personaje del la es, favor del por,los ayúdenos un brevedad responsable del alcalde del la en del información del importante delesta del obtenga del que del personaje asegurar del la posible. Pestaña casero porta “Admin” della del seleccionando y de “del página del la en del ingresando su ScanCenter de la configuraciónde suscripción del puede de También del notificación de su del desde actualizar del empresa”. Uncontinuación, pestaña del la del sobre del puntero del ratón del coloque seleccione “Notificacions”y de “mi cuenta”. Un continuación, que marcada del está de los correos electrónicos de laactualización del servicio de casilla de verificación del la del botón EL en del clic del haga “manejalas configuraciones” y de asegúrese que “de la actualización del servicio envíe”. El último de Por,camarilla responsable agregar en el cuadro de texto de la persona del electrónico de la direcciónde correo “envía los trabajos de mantenimiento de futuro de incidentes y del al de recibirá

//www.cisco.com/c/es_mx/support/docs/security/cloud-web-security/118478-technote-cws-00.html?cachemode=refresh



notificaciones de cara del ésta y de los correos electrónicos de la actualización del servicio”.

Saludo cordial O.N.U,

Seguridad de la red de la nube de Operaciones y Despliegue del Servicio de Cisco de los equiposdel los

Información Relacionada

Guía de configuración adaptante del dispositivo de seguridad (ASA)●

Referencia de comandos adaptante del dispositivo de seguridad (ASA)●

Guía de configuración de la generación 2 (ISR G2) del Routers de los Servicios integradoscon la solución acerca de la seguridad de la red de la nube

●

Referencia de comandos de la generación 2 (ISR G2) del Routers de los Servicios integrados●

Guía de configuración del dispositivo de seguridad de la red (WSA)●

Guía de configuración del conector nativa de la Seguridad de la red de la nube●

Soporte Técnico y Documentación - Cisco Systems●

/content/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/protect_cloud_web_security.html

//www.cisco.com/c/es_mx/support/security/asa-5500-series-next-generation-firewalls/products-command-reference-list.html

/content/dam/en/us/td/docs/security/wsa/wsa8-0/WSA_8-0-0_UserGuide.pdf

/content/en/us/td/docs/security/web_security/connector/connector3010/Connector_3-0.html

//www.cisco.com/cisco/web/support/index.html?referring_site=bodynav

pasos de la migración de la seguridad de la red de la nube y faq … · actualizar su arquitectura...

Documents